RSA Conference 2009: нужно объединять усилия

Основанная 18 лет назад как форум для криптографов, RSA Conference давно превратилась в крупнейшее в мире событие сегмента компьютерной безопасности. И хотя масштабы нынешней конференции, прошедшей 20–24 апреля в Сан-Франциско (Калифорния, США), оказались несколько скромнее, чем прошлогодней, это не помешало активному обмену экспертными мнениями о новых продуктах и проектах, тенденциях развития киберугроз и концепциях противостояния им.

В нынешнем году в конференции приняли участие представители более 325 компаний, работающих в сегменте безопасности, которые наряду с учеными из ведущих университетов и исследовательских центров смогли посетить 220 семинаров, охватывающих весьма широкий спектр вопросов – от юридических и экономических до самых тонких технических. Стоит отметить, что мероприятие посетили многие специалисты, традиционно предпочитавшие августовскую Black Hat. В этот раз главное внимание было уделено новым классам угроз, связанных с социальными сетями и онлайновыми играми, платформой Mac, «облачными» вычислениями, а также (впервые) одному вирусному «шедевру» – разумеется, «червю» Conficker.

Арт Ковьелло (Art Coviello), президент RSA, подразделения безопасности EMC: «Киберпреступность обзавелась специфической экосистемой коллекторов информации, разработчиков атак и непосредственных исполнителей. Побороть эту структуру можно только объединив усилия всех заинтересованных сторон: разработчиков ПО, государственных органов и даже отдельных пользователей»

Популярность социальных сетей продолжает возрастать, ожидается, что в этом году в них будут вовлечены до 80% пользователей Интернета (свыше 1 млрд человек). Поэтому они совершенно не случайно привлекают все большее внимание киберпреступников и уже стали основным источником спама, вредоносного ПО и даже нелегального заработка. Эксперты также указывают, что данный канал распространения в 10 раз эффективнее всех прочих, поскольку пользователи тесно взаимодействуют и привыкают друг другу доверять. Аналогичная ситуация и в сегменте онлайновых игр, годовой объем которого оценивается в 1 млрд долл. Здесь чаще всего встречаются два типа вредоносных программ: одни используют недостатки самих игр, другие являются роботами, выполняющими определенные рутинные операции. И те и другие в конечном итоге нацелены на овладение денежными кредитами игроков, которые нередко конвертируются в реальную валюту. Эксперты обсудили уязвимости широко популярных Second Life, World of Warcraft, Pirates of the Caribbean.

Идея «облачных» вычислений, в последнее время активно продвигаемая в ИТ-сообществе, также вызывает заметный энтузиазм у хакеров. Сейчас даже технически неподготовленные злоумышленники могут легко заняться криминальным бизнесом в ИТ, например, за счет сторонних услуг по получению персональных данных, созданию «троянских» программ, хостингу и пр. Несмотря на активное противодействие таким поползновениям со стороны правоохранительных органов, в среде киберпреступников существуют собственные социальные сети, инструменты для организации совместных атак и даже обучающие программы.

В то же время Филипп Куро (Philippe Courtot), глава и исполнительный директор Qualys, полагает, что SaaS как разновидность «облачных» вычислений вполне пригодна для организации информационной защиты, которая не только обеспечит новые возможности и высокую эффективность, но и обойдется дешевле «традиционной». Филипп Куро особо остановился на роли SaaS в формировании современных технологий и тех изменениях, которые, несомненно, окажут влияние на всю индустрию безопасности. По его мнению, мы движемся к широкому использованию онлайновых инструментов, к более надежным браузерам и «облачным» системам идентификации, к формированию открытых протоколов и стандартов безопасности. При этом сами средства защиты, реализованные с помощью «облачных» технологий, станут менее заметными и ресурсоемкими и будут внедряться во все элементы ИТ-инфраструктуры.

На конференции отдельно обсуждались вопросы безопасности компьютеров Apple, на протяжении многих лет считавшихся достаточно защищенными. Ситуация поменялась после недавнего обнаружения «троянцев», распространяющихся в пиратских версиях Mac OS X и ПО Adobe и организующих из компьютеров Mac бот-сети. Число участников последних, как правило, не слишком велико (до 5000), но, к примеру, iBotnet продолжает расти и уже демонстрирует свою активность. А киберпреступники постепенно осваивают новые каналы, в частности, зафиксированы попытки распространения «троянца» OSX.Iservice в пиринговых сетях. Специалисты сходятся во мнении, что хотя реальных угроз для Mac пока совсем немного (особенно в сравнении с Windows), да и затрагивают они преимущественно пользователей пиратских программ, с самой тенденцией уже нельзя не считаться. Как бы в подтверждение данной позиции вскоре после завершения конференции появились сообщения об обнаружении нового «червя» Tored, распространяющегося через сетевое окружение и электронные письма.

Скотт Чарни: «Полная анонимность и отсутствие какого бы то ни было контроля в Интернете должны остаться в прошлом»

По данным Symantec, каждый час в мире осуществляется до 400 тыс. атак, около 90% которых имеют целью сбор конфиденциальной информации. Это вынуждает пересматривать принятые процедуры контроля доступа – система черных и белых списков, жестко делящая приложения на подозрительные и легитимные, не в состоянии эффективно противостоять мимикрирующему нежелательному ПО (вроде Conficker). В связи с этим компания пропагандирует концепцию «репутационной безопасности», предусматривающую автоматическое оценивание надежности ПО на основе всего массива собранных данных. Исполнительный директор Symantec Энрике Салем (Enrique Salem) представил технологию, анализирующую происхождение каждого приложения, его возраст, код и ряд других критериев (не разглашаемых из соображений безопасности), и позволяющую установить централизованные политики использования ПО.

Впрочем, Symantec далеко не единственная компания, продвигающая новые концепции обеспечения безопасности. Исполнительный директор McAfee Дейв ДеУолт (Dave DeWalt) практически полностью посвятил свое выступление стратегии Predictive Security, которая представляет собой стек взаимосвязанных решений, работающий на основе глобального исследования потенциальных угроз. Подобный подход поможет избежать таких недостатков современных систем защиты, как сложность управления и несогласованность решений различных поставщиков, используемых на разных уровнях. По мнению Дейва ДеУолта, в перспективе системы безопасности будут инсталлироваться во все без исключения устройства, от чипа до спутника, данные от них будут аккумулироваться и анализироваться в системе Global Threat Intelligence, которая, в свою очередь, будет рассылать информацию об обнаруженных угрозах. Ключевым моментом должно стать управление рейтингами надежности отдельных доменов, хостов, веб-узлов, отправителей, сообщений. McAfee уже предлагает собственную реализацию под именем Artemis – она использует для обнаружения вредоносного ПО онлайновую базу данных цифровых сигнатур, обновляющуюся в режиме реального времени.

Безопасность Интернета стала основной темой доклада Скотта Чарни (Scott Charney), вице-президента Microsoft. Он подчеркнул, что анонимность и отсутствие контроля все чаще играют на руку киберпреступникам. Со своей стороны, Microsoft активно сотрудничает по данной проблеме с другими компаниями и некоммерческими организациями, в том числе Internet Consortium for Advancement of Security on the Internet, Internet Safety Technical Task Force, Center for Strategic and International Studies Cybersecurity Commission и рабочей группой Conficker. Новые решения компании, Windows 7 и Internet Explorer 8, также инкорпорируют передовые технологии защиты. Например, в Windows 7 дальнейшее развитие получили User Access Control и BitLocker, механизм AppLocker значительно расширяет возможности Software Restriction Policies, а DirectAccess поддерживает многоуровневую аутентификацию и обеспечивает безопасное подключение мобильных пользователей к корпоративной сети. Среди своих новинок Microsoft, в частности, представила Geneva, открытую платформу аутентификации, реализующую единую точку входа (Single Sign-On) для локальных и «облачных» систем и приложений.

Джон Чамберс (John Chambers), исполнительный директор Cisco: «Современный бизнес нуждается в новых стратегиях обеспечения безопасности, учитывающих физические, мобильные, виртуальные и глобальные аспекты его деятельности»

Даже в условиях общего экономического спада объем рынка решений безопасности заметно вырос и достиг 450 млн долл. только в США. По мнению экспертов, сейчас защищенность программных решений зависит преимущественно от их разработчиков, и потому основные усилия должны направляться не на выявление уязвимостей, а на их исключение. Вопреки расхожему убеждению, проприетарные решения оказываются отнюдь не наиболее уязвимыми – так, Microsoft (по данным IBM X-Force) занимает лишь третье место в списке поставщиков уязвимого ПО, причем на ее долю приходится лишь 2,5% проблем. Первенствуют же в данном вопросе проекты социальных сетей, почти 70% из них начинают задумываться о безопасности лишь после выхода готового продукта. То, что совершенствование процесса разработки и аудита ПО может существенно сказаться на его безопасности, подтверждает пример Windows Vista, на которую приходится около 5,5% всех уязвимостей в решениях Microsoft: ПК с ней заражаются на 60% реже, чем с Windows XP. Это является следствием внедрения методик Security Development Lifecycle (SDL), популяризуемых в рамках инициативы End-to-End Trust.

Традиционно на RSA Conference анонсируются передовые разработки в области компьютерной безопасности. Нынешняя конференция не стала исключением. Так, NetLogic, создающая специализированные процессоры NETL7 Layer 7 для сигнатурного анализа пакетов, показала NLS2008 Layer 7 с архитектурой третьего поколения Intelligent Fabric for Automata (3GIFA), обеспечивающей скорость обработки информации до 120 Гб/с.

V.i. Laboratories продемонстрировала новую версию решения CodeArmor 3.0 (в том числе SDK). Благодаря ему .NET-разработчики смогут скрыть критичные участки кода и API, сохранив при этом возможность расширения приложений партнерами и заказчиками, а также защитить ASP.NET-приложения от взлома. Среди прочего CodeArmor 3.0 активно противодействует попыткам декомпиляции и анализа кода во время исполнения, используя шифрование и интеграцию с JIT-компилятором .NET.

Известный поставщик решений для защиты баз данных Application Security представила AppDetectivePro 6.0. Эта система оценивает защищенность СУБД, обнаруживает атаки и уязвимости, поддерживает приоритезацию приложений и пр. Новая версия совместима с СУБД Oracle, Microsoft SQL Server, IBM DB2, Sybase, MySQL, располагает обширной базой знаний, автоматизирует настройку и формирование отчетов. Модуль AppDetective User Rights Review (URR) теперь распространяется как в пакете, так и отдельно.

Computer Associates анонсировала серию новых решений: CA Role & Compliance Manager для управления жизненным циклом личных удостоверений (основано на технологиях Eurekify и предоставляет расширенные возможности по сопоставлению учетных записей в разных ИТ-системах), CA DLP для защиты от утечки данных и CA Enterprise Log Manager для контроля систем безопасности, поставляемый в виде виртуального устройства.

Passlogix объявила о выпуске SDK для v-GO Authentication Manager, который позволяет реализовать процесс аутентификации на любом устройстве, еще не поддерживаемом v-GO Access Accelerator Suite. Таким образом, для аутентификации с помощью v-GO станут пригодны смарткарты, биометрические устройства разных производителей и пр.

Дейв ДеУолт: «Киберпреступность организовывается и становится все более опасной. Ответом на эти тенденции должна стать глобальная система разведывания угроз»

Организатор мероприятия, RSA (подразделение EMC), представила набор решений для Microsoft SharePoint: инструмент RSA Secure View for Microsoft SharePoint; сервис RSA DLP Risk Advisor for Microsoft SharePoint, контролирующий доступ к важной информации, оценивающий связанные с этим риски и предоставляющий средства повышения безопасности; ПО EMC Security and Compliance for Microsoft Office SharePoint Server 2007, призванное защищать критичные данные; EMC Business Continuity for Microsoft Office SharePoint Server 2007, осуществляющее технический контроль и централизованное управление. Кроме того, были анонсированы обновленный DLP-пакет и очередной релиз Adaptive Authentication Platform, реализующий интеллектуальную двухуровневую аутентификацию пользователей, системы RSA по определению рисков и RSA eFraudNetworkSM.

Компания Abaca Technology представила новую антиспамовую систему Abaca CLX Anti-spam Solution, предназначенную для сегмента телекоммуникационных услуг, которая основывается на патентованной технологии ReceiverNet (ko-online.com.ua/33888), учитывающей «репутацию» не только отправителя, но и получателя. Это самообучающееся решение должно выявлять не менее 99,9% нежелательной почты при одном ложном срабатывании на 10 тыс. сообщений и по данному показателю не имеет равных.

Президент RSA Арт Ковьелло (Art Coviello) в своем выступлении подчеркнул, что киберпреступность продолжает наращивать мускулы, атаки становятся более организованными и массированными, а злоумышленники активно сотрудничают между собой. Для эффективного противодействия современным угрозам необходимо не только пересмотреть подход к организации защиты, использовать самые передовые технологии, но и объединить усилия разработчиков. В ответ на эту потребность RSA запустила проект RSA Share, в рамках которого обеспечивается бесплатный доступ к технологиям компании и создано виртуальное сообщество экспертов по безопасности, предоставляющее рекомендации и поддержку. На RSA Conference 2009 было объявлено о возможности бесплатной загрузки RSA BSAFE Share в виде SDK с поддержкой C/C++ и Java. По заверению организаторов, в перспективе RSA Share обеспечит еще более широкие возможности, которые помогут не только в решении задачи шифрования, но и в совершенствовании других аспектов защиты.

Для того чтобы привлечь к проекту RSA Share внимание сторонних разработчиков, объявлен конкурс программистов с главным призом 10 тыс. долл. за наиболее интересное и практичное применение ПО RSA BSAFE Share в веб-приложениях. Заявки на участие принимаются до 20 мая 2009 г., а результат учредители намерены обнародовать в конце июня.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365